RDP-klient för Windows: installation och konfiguration. Konfigurera RDP (Remote Desktop Protocol)

Vad är Remote Desktop

Att använda Windows Remote Desktop (rdp) kan vara en mycket användbar och bekväm lösning på problemet fjärråtkomst till dator. När kan fjärrskrivbord vara användbart? Om du vill fjärrstyra din dator (antingen från ett lokalt nätverk eller var som helst i världen). Naturligtvis kan tredje part, såsom och andra, användas för dessa ändamål. Men ofta kräver dessa program åtkomstbekräftelse på sidan av fjärrdatorn, de är inte lämpliga för samtidig parallell användning av datorn av flera användare, och fungerar fortfarande långsammare än fjärrskrivbordet. Därför är sådana program mer lämpade för fjärrassistans eller underhåll, men inte för vardagsarbete.

Det kan vara ganska bekvämt att använda Remote Desktop för att tillåta användare att arbeta med vissa program. Till exempel, om du behöver demonstrera ett programs funktion för en fjärranvändare (ge demoåtkomst för testning). Eller så har du till exempel bara en kraftfull dator på ditt kontor som ett krävande program är installerat på. På andra svaga datorer saktar det ner, men alla behöver åtkomst. Då skulle en bra lösning vara att använda ett fjärrskrivbord: alla från deras "döda" datorer ansluter via rdp till en kraftfull dator och använder programmet på den, utan att störa varandra.

Statisk IP-adress. Vad som behövs för fjärråtkomst via rdp

En av de viktiga punkterna ang konfigurera och därefter använda fjärrskrivbordetär behovet av en statisk IP-adress på fjärrdatorn. Om du ställer in ett fjärrskrivbord som endast kommer att användas inom det lokala nätverket är det inga problem. Fjärrskrivbord används dock huvudsakligen för extern åtkomst. De flesta leverantörer förser abonnenter med dynamiska IP-adresser och för normal användning räcker detta. Statiska (”vita”) IP-adresser tillhandahålls vanligtvis mot en extra avgift.

Konfigurera Windows Remote Desktop

Tja, vi kom på varför vi behöver ett fjärrskrivbord. Låt oss nu börja ställa in det. Instruktionerna som diskuteras här är lämpliga för Windows 7, 8, 8.1, 10. I alla de listade operativsystemen är inställningarna likartade, skillnaderna är små och bara i hur man öppnar vissa fönster.

Först måste vi konfigurera datorn som vi ska ansluta till.

Uppmärksamhet! Ditt konto måste ha administratörsrättigheter.

1. Öppna Start - Kontrollpanel .

I Windows 8.1 och 10 är det bekvämt att öppna Kontrollpanel genom att högerklicka på ikonen Start och välja från listan Kontrollpanel .

Välj sedan system och säkerhet - Systemet. (Detta fönster kan också öppnas på annat sätt: klicka Start, högerklicka sedan på Dator och välj Egenskaper ).

Konfigurera fjärråtkomst .

3. I avsnittet Fjärrskrivbord välja:

- Tillåt endast anslutningar från datorer som kör Remote Desktop med autentisering på nätverksnivå . Lämplig för klienter som kör version 7.0 av Remote Desktop.

- . Lämplig för att ansluta äldre versioner av klienter.

4. Klicka Tillämpa .

5. Med knappen Välj användare Ett fönster öppnas där du kan ange konton på datorn som ska tillåtas att fjärransluta. (Denna procedur kallas också att lägga till en användare i en grupp )

Användare med administrativa rättigheter har fjärrarbetaråtkomst som standard. Men förutom att faktiskt ansluta måste alla konton vara lösenordsskyddade, även administratörskontot.

6. Lägg till i grupp Användare av fjärrskrivbord en ny användare med normala rättigheter (inte administratör). För att göra detta, tryck på knappen Lägg till

I fält Ange namn av de valda objekten anger du namnet på vår användare. jag har den Åtkomst1. Låt oss klicka Kontrollera namn .

Om allt är korrekt kommer datornamnet att läggas till i användarnamnet. Klick OK .

Om vi ​​inte kommer ihåg det exakta användarnamnet eller inte vill ange det manuellt, klicka Dessutom .

Klicka på knappen i fönstret som öppnas Sök .

I fält sökresultat Alla datoranvändare och lokala grupper kommer att visas. Välj önskad användare och klicka OK .

När du har valt alla nödvändiga användare i fönstret Urval: Användare Tryck OK .

Nu till gruppen Användare av fjärrskrivbord en användare med ett vanligt konto kommer att läggas till Åtkomst1. Klicka på för att tillämpa ändringarna OK .

7. Om du använder en tredje part måste du konfigurera den ytterligare, nämligen öppna TCP-port 3389. Om du bara har den inbyggda Windows-brandväggen igång, behöver du inte göra någonting, det kommer att konfigureras automatiskt så snart vi har tillåtit användning av fjärrskrivbord på datorn.

Detta slutför den grundläggande installationen av fjärrdatorn.

Nätverksinställningar, portvidarebefordran

Som nämnts ovan, för fjärråtkomst till skrivbordet du behöver en statisk IP-adress.

Om du inte har några routrar och internetkabeln går direkt till datorn, hoppa över det här avsnittet och gå vidare till nästa. Om du använder en router måste du göra ytterligare inställningar på den.

Om du planerar att använda fjärrskrivbordet endast på ett lokalt nätverk, räcker det att bara tilldela en lokal IP till den önskade datorn (följ den första delen, utan vidarebefordran av port). Behöver du tillgång utifrån behöver du också . För att öppna åtkomst till fjärrskrivbordet måste du vidarebefordra TCP-port 3389.

Konfigurera en fjärrskrivbordsanslutning

Låt oss gå direkt till ansluta till ett fjärrskrivbord, det vill säga inställningar på klientsidan.

1. Låt oss starta .

Du kan göra detta i Windows 7 via menyn Start - Alla program - Standard - Anslutning till fjärrskrivbord .

I Windows 8 är det bekvämt att starta genom sökning. Klick Start, klicka på förstoringsglasikonen i det övre högra hörnet och börja skriva in ordet "raderad" i sökfältet. Välj från de föreslagna sökalternativen Anslutning till fjärrskrivbord .

På Windows 10: Start - Alla applikationer - Standard Windows - Anslutning till fjärrskrivbord .

2. Låt oss först av allt kontrollera vilken protokollversion som är installerad. För att göra detta, klicka på ikonen i det övre vänstra hörnet och välj objektet Om programmet .

Kontrollerar versionen av skrivbordsprotokollet. Om 7.0 eller högre, då är allt i sin ordning, du kan ansluta.

Om protokollversionen är lägre (detta är möjligt på äldre versioner av Windows), måste du antingen uppdatera den eller sänka säkerhetsnivån i inställningarna för fjärrdatorn (dvs. Tillåt anslutningar från datorer som kör valfri version av Remote Desktop (farligare) ).

Du kan ladda ner Remote Desktop-uppdateringar för äldre operativsystem med hjälp av länkarna nedan:

3. Ange anslutningsparametrar:

I fält Dator Vi registrerar IP-adressen för fjärrdatorn som vi ska ansluta till. (Lokalt - om vi ansluter inom det lokala nätverket och verkligt (det som ges av Internetleverantören) om fjärrdatorn är placerad utanför det lokala nätverket). Jag har det första alternativet.

Notera. Du kan ta reda på vilken extern statisk IP-adress du har, till exempel genom tjänsten Yandex.Internetometer.

4. Klicka Att plugga .

Du kommer att bli ombedd att ange dina referenser. Ange inloggning och lösenord för alla användare på fjärrdatorn som har rättigheter att använda fjärrskrivbordet. I mitt exempel är det Administration eller Åtkomst1. Jag påminner dig om att konton måste vara lösenordsskyddade.

Ange ditt användarnamn och lösenord och markera rutan bredvid Kom ihåg inloggningsuppgifter , för att inte ange dem nästa gång du ansluter. Naturligtvis kan du bara komma ihåg dina referenser om du arbetar från en persondator som inte är tillgänglig för obehöriga.

Klick OK .

En varning kommer att dyka upp. Sätt en bock Be inte om anslutningar till den här datorn igen och tryck Ja .

Om allt är gjort korrekt kommer du att se fjärrskrivbordet framför dig.

Notera. Jag påminner om att du inte samtidigt kan ansluta via fjärrarbete från flera datorer under en användare. Det vill säga, om det är planerat att flera personer ska arbeta med fjärrdatorn samtidigt, måste du för varje användare skapa en separat användare och bevilja rättigheter att använda fjärrskrivbordet. Detta görs på en fjärrdator, som diskuterades i början av artikeln.

Ytterligare inställningar för fjärrskrivbord

Nu några ord om ytterligare inställningar för att ansluta till ett fjärrskrivbord.

För att öppna inställningsmenyn, klicka på alternativ .

Fliken Allmänt

Här kan du ändra anslutningsinställningar. Genom att klicka på länken redigera kan du redigera användarnamnet och anslutningslösenordet.

Du kan spara de redan konfigurerade anslutningsinställningarna. Klicka på knappen Spara som och välj en plats, t.ex. Skrivbord . Nu på Skrivbord En genväg visas som omedelbart startar en fjärrskrivbordsanslutning utan att behöva ange parametrar. Detta är mycket bekvämt, särskilt om du regelbundet arbetar med flera fjärrdatorer eller om du inte konfigurerar det själv och inte vill förvirra användare.

Skärmfliken

På fliken Skärm du kan ange storleken på fjärrskrivbordet (om det kommer att uppta hela skärmen på din bildskärm eller visas i ett litet separat fönster).

Du kan också välja färgdjup. Om din internetanslutningshastighet är långsam rekommenderas det att välja ett lägre djup.

Fliken Lokala resurser

Här kan du konfigurera ljudparametrarna (spela upp det på fjärrdatorn eller på klientdatorn, etc.), ordningen för användning av Windows-snabbtangentkombinationer (som Ctrl+Alt+Del, Ctrl+C, etc.) när du arbetar med fjärrskrivbordet.

En av de mest användbara avsnitten här är Lokala enheter och resurser . Genom att markera rutan Skrivare, får du möjlighet att skriva ut dokument från ett fjärrskrivbord till din lokala skrivare. Bock Urklipp aktiverar ett enda urklipp mellan fjärrskrivbordet och din dator. Det vill säga, du kan använda vanliga kopierings- och klistraoperationer för att överföra filer, mappar etc. från en fjärrdator till din och vice versa.

Klicka på knappen Fler detaljer, kommer du till inställningsmenyn där du kan ansluta ytterligare enheter på din dator till fjärrskrivbordet.

Till exempel vill du ha åtkomst till din disk när du arbetar på en fjärrdator D. Klicka sedan på plustecknet mittemot Enheter för att utöka listan och markera disken D. Klick OK .

Nu när du ansluter till ett fjärrskrivbord kommer du att se och komma åt din disk D genom Dirigent som om den var fysiskt ansluten till fjärrdatorn.

Fliken Avancerat

Här kan du välja anslutningshastighet för att uppnå maximal prestanda, samt ställa in visningen av skrivbordsbakgrunden, visuella effekter, etc.

Ta bort en anslutning till fjärrskrivbord

Slutligen, låt oss överväga hur man tar bort en fjärrskrivbordsanslutning. När behövs det? Till exempel brukade du ha fjärråtkomst till din dator, men nu finns det inget behov av detta, eller du behöver till och med förhindra främlingar från att ansluta till din dators fjärrskrivbord. Det är väldigt lätt att göra.

1. Öppna Kontrollpanel - system och säkerhet - Systemet, som de gjorde i början av artikeln.

2. Klicka på i den vänstra kolumnen Konfigurera fjärråtkomst .

3. I avsnittet Fjärrskrivbord välja:

- Tillåt inte anslutningar till den här datorn

Redo. Nu kommer ingen att kunna ansluta till dig via fjärrskrivbord.

Fjärrskrivbord är en operativsystemfunktion som låter dig administrera en fjärrdator i realtid, med hjälp av ett lokalt nätverk eller Internet som dataöverföringsmedium. Det finns ett stort utbud av fjärrskrivbordsimplementeringar beroende på protokoll eller operativsystem. Den vanligaste lösningen i operativsystemet Windows är Remote Desktop Protocol (RDP), och i system baserade på Linux-kärnan - VNC och X11.

Hur man aktiverar fjärrskrivbordsfunktioner

Som standard är möjligheten att bli en RDP-sessionsserver inaktiverad på en Windows-arbetsstation.

Högerklicka på ikonen "Den här datorn" och välj "Egenskaper" från snabbmenyn.

Välj alternativet "Ställa in fjärråtkomst" i menyn till vänster. Detta kommer att kräva administratörsbehörighet.

Fönstret "Systemegenskaper" öppnas, där du på fliken "Fjärråtkomst" måste ställa in åtkomstbehörigheten till den här datorn enligt skärmdumpen nedan.

Vid behov kan du välja användare under vilka du kan logga in i systemet.

Dessutom, om du har ett nätverksfilter (brandvägg) installerat, måste du skapa en tillåtelseregel för att ansluta till den här datorn i egenskaperna för nätverksadaptern eller i Windows-brandväggsappleten på kontrollpanelen.

Hur man ansluter till fjärrskrivbord

Det finns flera sätt att ansluta till ett fjärrskrivbord. Gå till huvudmenyn i systemet "Start - Alla program - Tillbehör - Anslutning till fjärrskrivbord"

Eller kör kommandot i Windows kommandotolk (eller fönster Kör»)

Båda dessa metoder är likvärdiga och startar samma program - guiden för anslutning till fjärrskrivbord.

I guidefönstret kan du ange namnet eller IP-adressen för den dator som du vill ansluta till, samt ange speciella parametrar, såsom skärmupplösning, överföring av lokala (urklipp, lokala diskar) eller fjärrresurser (ljud) .

Ange IP-adressen för fjärrnoden och tryck på knappen " Att plugga».

Troligtvis kommer vi att se en varning om problem med autentisering av fjärrdatorn. Om vi ​​är säkra på att vi inte har gjort ett misstag när vi stavar adressen eller namnet, kan vi klicka på "Ja", varefter anslutningen till noden initieras.

Du måste också ange fjärranvändarens autentiseringsuppgifter.

Om vi ​​inte har gjort ett misstag någonstans, kommer vi efter en tid att se skrivbordet på fjärrdatorn, där vi kan utföra vissa åtgärder. Styr muspekaren, ange tecken från tangentbordet och så vidare.

Som nämnts tidigare, för att underlätta systemadministrationen, kan vi överföra lokala resurser som skrivare, logiska enheter eller urklipp till en fjärrdator.

För att göra detta, i fönstret Anslutningsguide för fjärrskrivbord, gå till fliken "Lokala resurser", klicka på knappen "Mer information...".

Och i fönstret som öppnas väljer du till exempel Lokal disk (C:).

Nu, när vi ansluter ett fjärrskrivbord, kommer vi att se vår lokala enhet (C:) på datorn från vilken anslutningen görs.

Hur man ökar säkerheten för fjärrskrivbord

Det är ingen hemlighet att det är osäkert att lämna en dator med Remote Desktop aktiverat och ansluten till Internet. Faktum är att olika typer av angripare ständigt skannar nätverksadressintervall i jakt på körande nätverkstjänster (inklusive fjärrskrivbord) i syfte att ytterligare hacka dem.

Ett av sätten som kan göra det svårare för en angripare att hitta en körande Terminal Services (RDP)-tjänst är att ändra standardportnumret till ett annat värde. Som standard lyssnar RDP-tjänsten på nätverksport 3389/TCP och väntar på en inkommande anslutning. Det är denna port som angripare försöker ansluta till först. Vi kan säga med nästan 100% säkerhet att om en port med detta nummer är öppen på en dator, så kör den ett Windows-system med tillåten fjärråtkomst.

Uppmärksamhet! Ytterligare åtgärder med systemregistret måste utföras mycket noggrant. Ändring av vissa inställningar kan göra att operativsystemet inte fungerar.

För att ändra portnumret för fjärrskrivbordet måste du öppna registerredigeraren och öppna avsnittet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Hitta sedan REG_DWORD parametern PortNumber och ändra dess värde i decimalsystemet till ett godtyckligt tal (från 1024 till 65535).

Efter att värdet har ändrats bör datorn startas om. Nu, för att komma åt fjärrskrivbordet, måste du dessutom ange vår port via ett kolon. I den här situationen måste du ange som datornamn 10.0.0.119:33321

Tja, angripare, som har provat standardporten, kommer förmodligen att dra slutsatsen att fjärråtkomst via RDP-protokollet inte är tillåtet på den här datorn. Naturligtvis kommer den här metoden inte att rädda dig från riktade attacker, när varje nätverksport noggrant kontrolleras på jakt efter ett kryphål, men det kommer att skydda dig från massiva mallattacker.

Dessutom måste du använda ett ganska komplext och långt lösenord för de konton som tillåts åtkomst via fjärrskrivbord.

Ganska ofta har många användare som använder fjärråtkomstsessioner en fråga om hur man ändrar RDP-porten. Låt oss nu titta på de enklaste lösningarna och även ange flera huvudsteg i installationsprocessen.

Vad är RDP-protokollet till för?

Först några ord om RDP. Om du tittar på avkodningen av förkortningen kan du förstå att fjärråtkomst

Enkelt uttryckt är detta ett verktyg för en terminalserver eller arbetsstation. Windows-inställningar (och alla versioner av systemet) använder standardinställningar som passar de flesta användare. Men ibland finns det ett behov av att ändra dem.

Standard RDP-port: ska den ändras?

Så, oavsett modifiering av Windows, har alla protokoll en förinställd betydelse. Detta är RDP-port 3389, som används för att utföra en kommunikationssession (ansluter en terminal till fjärranslutna).

Vad är anledningen till situationen när schablonvärdet behöver ändras? Först av allt, bara med att säkerställa säkerheten för den lokala datorn. När allt kommer omkring, om du tittar på det, med en standardport installerad, kan i princip vilken angripare som helst enkelt penetrera systemet. Så låt oss nu se hur man ändrar standard RDP-porten.

Ändra inställningar i systemregistret

Låt oss omedelbart notera att ändringsproceduren utförs uteslutande i manuellt läge, och fjärråtkomstklienten själv tillhandahåller ingen återställning eller installation av nya parametrar.

Ring först standardregisterredigeraren med kommandot regedit i menyn "Kör" (Win + R). Här är vi intresserade av HKLM-grenen, där vi måste gå ner i partitionsträdet genom terminalserverkatalogen till RDP-Tcp-katalogen. I fönstret till höger hittar vi nyckeln PortNumber. Det är dess innebörd som vi måste förändra.

Vi går in i redigering och ser 00000D3D där. Många människor blir omedelbart förbryllade över vad det är. Och detta är helt enkelt en hexadecimal representation av decimaltalet 3389. För att indikera porten i decimalform använder vi motsvarande rad för att visa värderepresentationen och anger sedan den parameter vi behöver.

Efter detta startar vi om systemet, och när du försöker ansluta, ange en ny RDP-port. Ett annat sätt att ansluta är att använda specialkommandot mstsc /v:ip_address:XXXXX, där XXXXX är det nya portnumret. Men det är inte allt.

Regler för Windows-brandväggen

Tyvärr kan den inbyggda Windows-brandväggen blockera den nya porten. Det betyder att du måste göra ändringar i inställningarna för själva brandväggen.

Öppna brandväggsinställningarna med avancerade säkerhetsinställningar. Här ska du först välja inkommande anslutningar och klicka på raden för att skapa en ny regel. Nu väljer vi objektet för att skapa en regel för porten, anger sedan dess värde för TCP, tillåter sedan anslutningen, lämnar profilsektionen oförändrad och tilldelar slutligen ett namn till den nya regeln, varefter vi klickar på den fullständiga konfigurationsknappen. Allt som återstår är att starta om servern och, vid anslutning, ange den nya RDP-porten genom ett kolon i lämplig rad. I teorin borde det inte vara några problem.

Vidarebefordra RDP-porten på routern

I vissa fall, när du använder en trådlös anslutning istället för en kabelanslutning, kan du behöva vidarebefordra porten på din router. Det är inget komplicerat med det.

Först, i systemegenskaperna tillåter och anger vi de användare som har rätt att göra det. Gå sedan till menyn för routerinställningar via webbläsaren (192.168.1.1 eller i slutet 0.1 - allt beror på routermodellen). I fältet (om vår huvudadress är 1.1) är det lämpligt att ange adressen, börja med den tredje (1.3), och skriva regeln för att utfärda adressen för den andra (1.2).

Sedan i nätverksanslutningar använder vi detaljvyn, där du ska se detaljerna, kopiera den fysiska MAC-adressen därifrån och klistra in den i routerns parametrar.

Nu, i avsnittet NAT-inställningar på modemet, aktivera anslutningen till servern, lägg till en regel och ange port XXXXX, som måste vidarebefordras till standard RDP-port 3389. Spara ändringarna och starta om routern (den nya porten kommer att inte accepteras utan omstart). Du kan kontrollera anslutningen på någon specialiserad webbplats som ping.eu i avsnittet för porttestning. Som du kan se är allt enkelt.

Slutligen, notera att portvärdena är fördelade enligt följande:

  • 0 - 1023 - portar för systemprogram på låg nivå;
  • 1024 - 49151 - hamnar tilldelade för privata ändamål;
  • 49152 - 65535 - dynamiska privata portar.

I allmänhet väljer många användare RDP-portar från det tredje området i listan för att undvika problem. Men både specialister och experter rekommenderar att du använder dessa värden i inställningarna, eftersom de är lämpliga för de flesta av uppgifterna.

När det gäller denna specifika procedur används den huvudsakligen endast i fall av Wi-Fi-anslutning. Som du redan kan se, med en normal trådbunden anslutning krävs det inte: ändra bara värdena på registernycklarna och lägg till regler för porten i brandväggen.

Den här artikeln börjar en serie artiklar som ägnas åt design och säkerhet för RDP-protokollet. Den första artikeln i den här serien analyserar design, användning och huvudteknologier som är inbäddade i detta protokoll.

Den här artikeln börjar en serie artiklar som ägnas åt design och säkerhet för RDP-protokollet. Den första artikeln i den här serien analyserar design, användning och huvudteknologier som är inbäddade i detta protokoll.

Följande artiklar kommer att diskutera följande frågor i detalj:

  • Drift av säkerhetsundersystemet Remote Desktop
  • Utbyte av tjänstinformation i RDP
  • Terminal Server-sårbarheter och sätt att eliminera dem
  • Val av användarkonton med hjälp av RDP-protokollet (utvecklat av Positive Technologies inom detta område)

RDP:s historia

Remote Desktop-protokollet skapades av Microsoft för att ge fjärråtkomst till Windows-servrar och arbetsstationer. RDP-protokollet är utformat för att dela resurserna från en högpresterande terminalserver med många mindre kraftfulla arbetsstationer. Den första terminalservern (version 4.0) dök upp 1998 som en del av Windows NT 4.0 Terminal Server; i skrivande stund (januari 2009) är den senaste versionen av terminalservern version 6.1, inkluderad i Windows 2008 Server och Windows Vista SP1 distributioner. För närvarande är RDP det huvudsakliga fjärråtkomstprotokollet för system i Windows-familjen, och klientapplikationer finns för både Microsoft OS och Linux, FreeBSD, MAC OS X, etc.

När man talar om RDP:s historia kan man inte låta bli att nämna Citrix. Citrix Systems specialiserade sig på fleranvändarsystem och fjärråtkomstteknologier på 1990-talet. Efter att ha förvärvat källkodslicensen för Windows NT 3.51 1995 släppte företaget en fleranvändarversion av Windows NT som kallas WinFrame. 1997 ingick Citrix Systems och Microsoft ett avtal enligt vilket fleranvändarmiljön Windows NT 4.0 baserades på Citrix-teknikutvecklingen. Citrix Systems vägrade i sin tur att distribuera ett fullfjädrat operativsystem och fick rätten att utveckla och implementera tillägg för Microsoft-produkter. Dessa tillägg kallades ursprungligen MetaFrame. Rättigheterna till ICA (Independent Computing Architecture), applikationsprotokollet för interaktion mellan tunna klienter och Citrix-applikationsservern, förblev hos Citrix Systems, och Microsoft RDP-protokollet var baserat på ITU T.120.

För närvarande är den största konkurrensen mellan Citrix och Microsoft inom området applikationsservrar för små och medelstora företag. Traditionellt vinner lösningar baserade på Terminal Services i system med inte ett särskilt stort antal av samma typ av servrar och liknande konfigurationer, medan Citrix Systems är väl etablerat på marknaden för komplexa och högpresterande system. Konkurrensen gynnas av lanseringen av lätta lösningar för små system av Citrix och den ständiga expansionen av Terminal Services-funktionaliteten av Microsoft.

Låt oss titta på fördelarna med dessa lösningar.

Styrkor med terminaltjänster:

  • Enkel installation av applikationer för klientsidan av applikationsservern
  • Centraliserat underhåll av användarsessioner
  • Kräver endast en licens för Terminal Services

Styrkor med Citrix-lösningar:

  • Lätt att skala
  • Enkel administration och övervakning
  • Åtkomstkontrollpolicy
  • Stöd för företagsprodukter från tredje part (IBM WebSphere, BEA WebLogic)

Nätverksdesign med hjälp av terminaltjänster

Microsoft föreslår två sätt att använda RDP-protokollet:

  • för administration (fjärradministrationsläge)
  • för att komma åt applikationsservern (Terminal Server-läge)

RDP i administrationsläge

Denna typ av anslutning används av alla moderna Microsoft-operativsystem. Serverversioner av Windows stöder två fjärranslutningar och en lokal inloggning samtidigt, medan klientversioner endast stöder en inloggning (lokal eller fjärransluten). För att tillåta fjärranslutningar måste du aktivera fjärrskrivbordsåtkomst i arbetsstationens egenskaper.

RDP i terminalserveråtkomstläge

Detta läge är endast tillgängligt i serverversioner av Windows. Antalet fjärranslutningar i detta fall är inte begränsat, men konfiguration av licensservern och dess efterföljande aktivering krävs. Licensservern kan installeras antingen på en terminalserver eller på en separat nätverksnod. Möjligheten att fjärråtkomst till terminalservern är endast tillgänglig efter installation av lämpliga licenser på licensservern.

Vid användning av ett terminalserverkluster och lastbalansering krävs installation av en specialiserad anslutningsserver (Session Directory Service). Den här servern indexerar användarsessioner, vilket gör att du kan logga in, samt logga in igen på terminalservrar som arbetar i en distribuerad miljö.

Hur RDP fungerar

Remote Desktop är ett applikationsprotokoll baserat på TCP. Efter att en anslutning upprättats initieras en RDP-session vid transportlagret, inom vilken olika dataöverföringsparametrar förhandlas. Efter att initialiseringsfasen har slutförts, börjar terminalservern skicka grafisk utdata till klienten och väntar på tangentbords- och musinmatning. Den grafiska utgången kan vara en exakt kopia av den grafiska skärmen och överföra både en bild och kommandon för att rita grafiska primitiver (rektangel, linje, ellips, text, etc.). Att sända utdata med hjälp av primitiver är en prioritet för RDP-protokollet, eftersom det avsevärt sparar trafik; och bilden sänds endast om annat är omöjligt av någon anledning (det var inte möjligt att komma överens om parametrarna för sändning av primitiver när man satte upp en RDP-session). RDP-klienten bearbetar mottagna kommandon och visar bilder med hjälp av sitt grafiska undersystem. Som standard överförs användarinmatning med tangentbordsskanningskoder. Signalen för att trycka och släppa en tangent sänds separat med hjälp av en speciell flagga.

RDP stöder flera virtuella kanaler inom en enda anslutning, som kan användas för att tillhandahålla ytterligare funktionalitet:

  • med en skrivare eller seriell port
  • omdirigering av filsystemet
  • Stöd för urklipp
  • med hjälp av ljudundersystemet

Egenskaperna för de virtuella kanalerna förhandlas under anslutningsfasen.

Säkerställande av säkerhet vid användning av RDP

RDP-protokollspecifikationen kräver en av två säkerhetsmetoder:

  • Standard RDP-säkerhet (inbyggt säkerhetsundersystem)
  • Förbättrad RDP-säkerhet (externt säkerhetsundersystem)

Standard RDP-säkerhet

Med detta tillvägagångssätt implementeras autentisering, kryptering och integritetssäkring med hjälp av de medel som är inbyggda i RDP-protokollet.

Autentisering

Serverautentisering utförs enligt följande:

  1. När systemet startar genereras ett par RSA-nycklar
  2. Ett patentskyddat certifikat med publik nyckel skapas
  3. Certifikatet är signerat med en RSA-nyckel hårdkodad i operativsystemet (alla RDP-klienter innehåller den publika nyckeln för denna inbyggda RSA-nyckel).
  4. Klienten ansluter till terminalservern och får ett proprietärt certifikat
  5. Klienten verifierar certifikatet och tar emot serverns publika nyckel (denna nyckel används senare för att förhandla om krypteringsparametrar)

Klientautentisering utförs genom att ange ett användarnamn och lösenord.

Kryptering

RC4-strömchifferet valdes som krypteringsalgoritm. Beroende på operativsystemversion finns olika nyckellängder tillgängliga från 40 till 168 bitar.

Maximal nyckellängd för Winodws operativsystem:

  • Windows 2000 Server - 56 bitar
  • Windows XP, Windows 2003 Server – 128 bitar
  • Windows Vista, Windows 2008 Server – 168 bitar

När en anslutning upprättas, efter att ha kommit överens om längden, genereras två olika nycklar: för att kryptera data från klienten och från servern.

Integritet

Meddelandeintegritet uppnås genom att använda en MAC-genereringsalgoritm (Message Authentication Code) baserad på MD5- och SHA1-algoritmerna.

Från och med Windows 2003 Server kan FIPS (Federal Information Processing Standard) 140-1-kompatibilitet uppnås genom att använda 3DES för meddelandekryptering och en SHA1-endast MAC-genereringsalgoritm för att säkerställa integritet.

Förbättrad RDP-säkerhet

Detta tillvägagångssätt använder externa säkerhetsmoduler:

  • TLS 1.0
  • CredSSP

TLS kan användas från och med Windows 2003 Server, men bara om RDP-klienten stöder det. TLS-stöd har lagts till sedan RDP-klientversion 6.0.

När du använder TLS kan servercertifikatet genereras med hjälp av Terminal Services eller så kan du välja ett befintligt certifikat från Windows Store.

CredSSP-protokollet är en kombination av funktionaliteten hos TLS, Kerberos och NTLM.

Låt oss titta på de viktigaste fördelarna med CredSSP-protokollet:

  • Kontrollera behörighet att logga in på ett fjärrsystem innan en fullständig RDP-anslutning upprättas, vilket gör att du kan spara terminalserverresurser när det finns ett stort antal anslutningar
  • Stark autentisering och kryptering via TLS-protokoll
  • Använda enkel inloggning med Kerberos eller NTLM

CredSSP-funktioner kan endast användas på operativsystemen Windows Vista och Windows 2008 Server. Detta protokoll aktiveras av flaggan Använd nätverksnivåautentisering i terminalserverinställningarna (Windows 2008 Server) eller i fjärråtkomstinställningarna (Windows Vista).

Terminal Services licenssystem

När du använder RDP kräver åtkomst till applikationer i tunn klientläge att du konfigurerar en specialiserad licensserver.

Permanenta klientlicenser kan installeras på servern endast efter att aktiveringsproceduren har slutförts; före denna procedur kan tillfälliga licenser med begränsad giltighetstid utfärdas. Efter aktivering förses licensservern med ett digitalt certifikat som bekräftar dess ägande och äkthet. Med detta certifikat kan licensservern utföra efterföljande transaktioner med Microsoft Clearinghouse-databasen och acceptera permanenta CAL för terminalservern.

Typer av klientlicenser:

  • tillfällig licens (Temporary Terminal Server CAL)
  • enhetslicens (Device Terminal Server CAL)
  • användarlicens (User Terminal Server CAL)
  • licens för externa användare (External Terminal Server Connector)

Tillfällig licens

Denna typ av licens utfärdas till klienten vid första anslutning till terminalservern, licensen är giltig i 90 dagar. Efter lyckad inloggning fortsätter klienten att arbeta med en temporär licens, och nästa gång terminalservern ansluter försöker den ersätta den tillfälliga licensen med en permanent, om den finns tillgänglig i lagringen.

Enhetslicens

Denna licens utfärdas för varje fysisk enhet som ansluter till applikationsservern. Licensens giltighetstid bestäms slumpmässigt mellan 52 och 89 dagar. 7 dagar före utgångsdatumet försöker terminalservern förnya licensen från licensservern varje gång en klient ansluter igen.

Användarlicens

Per-användarlicensering ger ytterligare flexibilitet genom att tillåta användare att ansluta från en mängd olika enheter. Den nuvarande implementeringen av Terminal Services har inte kontroll över användningen av användarlicenser, d.v.s. Antalet tillgängliga licenser på licensservern minskar inte när nya användare ansluter. Att använda otillräckliga licenser för klientanslutningar bryter mot Microsofts licensavtal. För att använda både enhets- och användar-CAL på samma terminalserver måste servern konfigureras för att fungera i per-användarlicensläge.

Licens för externa användare

Detta är en speciell typ av licens utformad för att ansluta externa användare till en företagsterminalserver. Denna licens innebär inga begränsningar för antalet anslutningar, men enligt användaravtalet (EULA) måste terminalservern för externa anslutningar vara dedikerad, vilket inte tillåter att den används för att betjäna sessioner från företagsanvändare. På grund av det höga priset används inte denna typ av licens i stor utsträckning.

Licensservern kan ha en av två roller:

  • Domän- eller arbetsgruppslicensserver
  • Hela Enterprise License Server

Rollerna skiljer sig åt i hur de upptäcker licensservern: vid användning av Enterprise-rollen söker terminalservern ActiveDirectory efter licensservern, annars utförs sökningen med en NetBIOS-sändningsförfrågan. Varje server som hittas kontrolleras för korrekthet med hjälp av en RPC-begäran.

Lovande teknologier Terminal Services

Lösningar för applikationsservrar främjas aktivt av Microsoft, funktionaliteten utökas och ytterligare moduler introduceras. Den största utvecklingen har uppnåtts av teknologier som förenklar installationen av applikationer och komponenter som ansvarar för driften av terminalservrar i globala nätverk.

Följande funktioner har introducerats i Terminal Services för Windows 2008 Server.

Vad är Remote Desktop

Att använda Windows Remote Desktop (rdp) kan vara en mycket användbar och bekväm lösning på problemet fjärråtkomst till dator. När kan fjärrskrivbord vara användbart? Om du vill fjärrstyra din dator (antingen från ett lokalt nätverk eller var som helst i världen). Naturligtvis kan tredje part, såsom och andra, användas för dessa ändamål. Men ofta kräver dessa program åtkomstbekräftelse på sidan av fjärrdatorn, de är inte lämpliga för samtidig parallell användning av datorn av flera användare, och fungerar fortfarande långsammare än fjärrskrivbordet. Därför är sådana program mer lämpade för fjärrassistans eller underhåll, men inte för vardagsarbete.

Det kan vara ganska bekvämt att använda Remote Desktop för att tillåta användare att arbeta med vissa program. Till exempel, om du behöver demonstrera ett programs funktion för en fjärranvändare (ge demoåtkomst för testning). Eller så har du till exempel bara en kraftfull dator på ditt kontor som ett krävande program är installerat på. På andra svaga datorer saktar det ner, men alla behöver åtkomst. Då skulle en bra lösning vara att använda ett fjärrskrivbord: alla från deras "döda" datorer ansluter via rdp till en kraftfull dator och använder programmet på den, utan att störa varandra.

Statisk IP-adress. Vad som behövs för fjärråtkomst via rdp

En av de viktiga punkterna ang konfigurera och därefter använda fjärrskrivbordetär behovet av en statisk IP-adress på fjärrdatorn. Om du ställer in ett fjärrskrivbord som endast kommer att användas inom det lokala nätverket är det inga problem. Fjärrskrivbord används dock huvudsakligen för extern åtkomst. De flesta leverantörer förser abonnenter med dynamiska IP-adresser och för normal användning räcker detta. Statiska (”vita”) IP-adresser tillhandahålls vanligtvis mot en extra avgift.

Konfigurera Windows Remote Desktop

Tja, vi kom på varför vi behöver ett fjärrskrivbord. Låt oss nu börja ställa in det. Instruktionerna som diskuteras här är lämpliga för Windows 7, 8, 8.1, 10. I alla de listade operativsystemen är inställningarna likartade, skillnaderna är små och bara i hur man öppnar vissa fönster.

Först måste vi konfigurera datorn som vi ska ansluta till.

Uppmärksamhet! Ditt konto måste ha administratörsrättigheter.

1. Öppna Start - Kontrollpanel .

I Windows 8.1 och 10 är det bekvämt att öppna Kontrollpanel genom att högerklicka på ikonen Start och välja från listan Kontrollpanel .

Välj sedan system och säkerhet - Systemet. (Detta fönster kan också öppnas på annat sätt: klicka Start, högerklicka sedan på Dator och välj Egenskaper ).

Konfigurera fjärråtkomst .

3. I avsnittet Fjärrskrivbord välja:

- Tillåt endast anslutningar från datorer som kör Remote Desktop med autentisering på nätverksnivå . Lämplig för klienter som kör version 7.0 av Remote Desktop.

- . Lämplig för att ansluta äldre versioner av klienter.

4. Klicka Tillämpa .

5. Med knappen Välj användare Ett fönster öppnas där du kan ange konton på datorn som ska tillåtas att fjärransluta. (Denna procedur kallas också att lägga till en användare i en grupp )

Användare med administrativa rättigheter har fjärrarbetaråtkomst som standard. Men förutom att faktiskt ansluta måste alla konton vara lösenordsskyddade, även administratörskontot.

6. Lägg till i grupp Användare av fjärrskrivbord en ny användare med normala rättigheter (inte administratör). För att göra detta, tryck på knappen Lägg till

I fält Ange namn av de valda objekten anger du namnet på vår användare. jag har den Åtkomst1. Låt oss klicka Kontrollera namn .

Om allt är korrekt kommer datornamnet att läggas till i användarnamnet. Klick OK .

Om vi ​​inte kommer ihåg det exakta användarnamnet eller inte vill ange det manuellt, klicka Dessutom .

Klicka på knappen i fönstret som öppnas Sök .

I fält sökresultat Alla datoranvändare och lokala grupper kommer att visas. Välj önskad användare och klicka OK .

När du har valt alla nödvändiga användare i fönstret Urval: Användare Tryck OK .

Nu till gruppen Användare av fjärrskrivbord en användare med ett vanligt konto kommer att läggas till Åtkomst1. Klicka på för att tillämpa ändringarna OK .

7. Om du använder en tredje part måste du konfigurera den ytterligare, nämligen öppna TCP-port 3389. Om du bara har den inbyggda Windows-brandväggen igång, behöver du inte göra någonting, det kommer att konfigureras automatiskt så snart vi har tillåtit användning av fjärrskrivbord på datorn.

Detta slutför den grundläggande installationen av fjärrdatorn.

Nätverksinställningar, portvidarebefordran

Som nämnts ovan, för fjärråtkomst till skrivbordet du behöver en statisk IP-adress.

Om du inte har några routrar och internetkabeln går direkt till datorn, hoppa över det här avsnittet och gå vidare till nästa. Om du använder en router måste du göra ytterligare inställningar på den.

Om du planerar att använda fjärrskrivbordet endast på ett lokalt nätverk, räcker det att bara tilldela en lokal IP till den önskade datorn (följ den första delen, utan vidarebefordran av port). Behöver du tillgång utifrån behöver du också . För att öppna åtkomst till fjärrskrivbordet måste du vidarebefordra TCP-port 3389.

Konfigurera en fjärrskrivbordsanslutning

Låt oss gå direkt till ansluta till ett fjärrskrivbord, det vill säga inställningar på klientsidan.

1. Låt oss starta .

Du kan göra detta i Windows 7 via menyn Start - Alla program - Standard - Anslutning till fjärrskrivbord .

I Windows 8 är det bekvämt att starta genom sökning. Klick Start, klicka på förstoringsglasikonen i det övre högra hörnet och börja skriva in ordet "raderad" i sökfältet. Välj från de föreslagna sökalternativen Anslutning till fjärrskrivbord .

På Windows 10: Start - Alla applikationer - Standard Windows - Anslutning till fjärrskrivbord .

2. Låt oss först av allt kontrollera vilken protokollversion som är installerad. För att göra detta, klicka på ikonen i det övre vänstra hörnet och välj objektet Om programmet .

Kontrollerar versionen av skrivbordsprotokollet. Om 7.0 eller högre, då är allt i sin ordning, du kan ansluta.

Om protokollversionen är lägre (detta är möjligt på äldre versioner av Windows), måste du antingen uppdatera den eller sänka säkerhetsnivån i inställningarna för fjärrdatorn (dvs. Tillåt anslutningar från datorer som kör valfri version av Remote Desktop (farligare) ).

Du kan ladda ner Remote Desktop-uppdateringar för äldre operativsystem med hjälp av länkarna nedan:

3. Ange anslutningsparametrar:

I fält Dator Vi registrerar IP-adressen för fjärrdatorn som vi ska ansluta till. (Lokalt - om vi ansluter inom det lokala nätverket och verkligt (det som ges av Internetleverantören) om fjärrdatorn är placerad utanför det lokala nätverket). Jag har det första alternativet.

Notera. Du kan ta reda på vilken extern statisk IP-adress du har, till exempel genom tjänsten Yandex.Internetometer.

4. Klicka Att plugga .

Du kommer att bli ombedd att ange dina referenser. Ange inloggning och lösenord för alla användare på fjärrdatorn som har rättigheter att använda fjärrskrivbordet. I mitt exempel är det Administration eller Åtkomst1. Jag påminner dig om att konton måste vara lösenordsskyddade.

Ange ditt användarnamn och lösenord och markera rutan bredvid Kom ihåg inloggningsuppgifter , för att inte ange dem nästa gång du ansluter. Naturligtvis kan du bara komma ihåg dina referenser om du arbetar från en persondator som inte är tillgänglig för obehöriga.

Klick OK .

En varning kommer att dyka upp. Sätt en bock Be inte om anslutningar till den här datorn igen och tryck Ja .

Om allt är gjort korrekt kommer du att se fjärrskrivbordet framför dig.

Notera. Jag påminner om att du inte samtidigt kan ansluta via fjärrarbete från flera datorer under en användare. Det vill säga, om det är planerat att flera personer ska arbeta med fjärrdatorn samtidigt, måste du för varje användare skapa en separat användare och bevilja rättigheter att använda fjärrskrivbordet. Detta görs på en fjärrdator, som diskuterades i början av artikeln.

Ytterligare inställningar för fjärrskrivbord

Nu några ord om ytterligare inställningar för att ansluta till ett fjärrskrivbord.

För att öppna inställningsmenyn, klicka på alternativ .

Fliken Allmänt

Här kan du ändra anslutningsinställningar. Genom att klicka på länken redigera kan du redigera användarnamnet och anslutningslösenordet.

Du kan spara de redan konfigurerade anslutningsinställningarna. Klicka på knappen Spara som och välj en plats, t.ex. Skrivbord . Nu på Skrivbord En genväg visas som omedelbart startar en fjärrskrivbordsanslutning utan att behöva ange parametrar. Detta är mycket bekvämt, särskilt om du regelbundet arbetar med flera fjärrdatorer eller om du inte konfigurerar det själv och inte vill förvirra användare.

Skärmfliken

På fliken Skärm du kan ange storleken på fjärrskrivbordet (om det kommer att uppta hela skärmen på din bildskärm eller visas i ett litet separat fönster).

Du kan också välja färgdjup. Om din internetanslutningshastighet är långsam rekommenderas det att välja ett lägre djup.

Fliken Lokala resurser

Här kan du konfigurera ljudparametrarna (spela upp det på fjärrdatorn eller på klientdatorn, etc.), ordningen för användning av Windows-snabbtangentkombinationer (som Ctrl+Alt+Del, Ctrl+C, etc.) när du arbetar med fjärrskrivbordet.

En av de mest användbara avsnitten här är Lokala enheter och resurser . Genom att markera rutan Skrivare, får du möjlighet att skriva ut dokument från ett fjärrskrivbord till din lokala skrivare. Bock Urklipp aktiverar ett enda urklipp mellan fjärrskrivbordet och din dator. Det vill säga, du kan använda vanliga kopierings- och klistraoperationer för att överföra filer, mappar etc. från en fjärrdator till din och vice versa.

Klicka på knappen Fler detaljer, kommer du till inställningsmenyn där du kan ansluta ytterligare enheter på din dator till fjärrskrivbordet.

Till exempel vill du ha åtkomst till din disk när du arbetar på en fjärrdator D. Klicka sedan på plustecknet mittemot Enheter för att utöka listan och markera disken D. Klick OK .

Nu när du ansluter till ett fjärrskrivbord kommer du att se och komma åt din disk D genom Dirigent som om den var fysiskt ansluten till fjärrdatorn.

Fliken Avancerat

Här kan du välja anslutningshastighet för att uppnå maximal prestanda, samt ställa in visningen av skrivbordsbakgrunden, visuella effekter, etc.

Ta bort en anslutning till fjärrskrivbord

Slutligen, låt oss överväga hur man tar bort en fjärrskrivbordsanslutning. När behövs det? Till exempel brukade du ha fjärråtkomst till din dator, men nu finns det inget behov av detta, eller du behöver till och med förhindra främlingar från att ansluta till din dators fjärrskrivbord. Det är väldigt lätt att göra.

1. Öppna Kontrollpanel - system och säkerhet - Systemet, som de gjorde i början av artikeln.

2. Klicka på i den vänstra kolumnen Konfigurera fjärråtkomst .

3. I avsnittet Fjärrskrivbord välja:

- Tillåt inte anslutningar till den här datorn

Redo. Nu kommer ingen att kunna ansluta till dig via fjärrskrivbord.